Говоря о причинах инвестиций в ИТ-безопасность, руководители компаний, как правило, говорят о снижении общих рисков, а также соответствии регулятивным требованиям и корпоративным политикам.
При этом многие из них не знают, какая информация требует особой защиты, а большинство не в курсе, какова может быть цена утечки. Согласно опросу, проведенному ассоциацией AIIM, 28% руководителей не знают, какая часть корпоративной информации нуждается в особой опеке. Еще 40% затруднились ответить, получал ли кто-либо в течение последних двух лет несанкционированный доступ к корпоративной информации. Это означает нежелание первых лиц компании уделять время вопросам безопасности. С финансовыми средствами на безопасность они расстаются охотнее, однако без серьезного анализа защищаемых объектов велик риск неэффективного использования выделенных ресурсов. 75% из тех компаний, кто пытался оценить финансовую эффективность вложений в безопасность, заявили, что желаемых результатов достичь не удалось.